TikTokのアプリ内ブラウザでウェブサイトにアクセスすると、TikTokはユーザーのキーストロークやタップなどのアクティビティを監視できるコードを挿入していることが判明。TikTok側は追跡できるコードを挿入している事実を認めていますが、デバッグなどにのみ利用されていると主張しています。
アプリ内ブラウザは注意しましょう。個人情報が監視されているかもしれません
アプリ開発者向けツール「fastlane」の創設者でプライバシーリサーチャーのFelix Krause氏が、TikTokのアプリ内ブラウザ(In App Browser)で任意のウェブサイトを開くと、パスワードを含むすべてのキーストロークとすべてのタップを監視できる追跡コードが挿入されると指摘しています。
🔥 New Post: Announcing InAppBrowser - see what JavaScript commands get injected through an in-app browser
— Felix Krause (@KrauseFx) August 18, 2022
👀 TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc
Felix Krause氏はアプリ内ブラウザを調査して、外部のJavaScriptコードが挿入されていないか調べるために「https://InAppBrowser.com」を作成。TikTokのアプリ内ブラウザで開くと、すべてのキーボード入力(クレジットカード情報、パスワード、その他の機密情報を含む)を観察できるコードが挿入されると報告。またTikTokは、ボタンやリンクのクリックなど、すべてのタップを監視するコードも挿入しているとのこと。
https://t.co/KwZ3dtKyQf - a new tool I used to investigate the in-app browsers of apps (that use them) to look for any external JavaScript code being injected. pic.twitter.com/XSdXOpXYlq
— Felix Krause (@KrauseFx) August 18, 2022
When opening a website from within the TikTok iOS app, they inject code that can observe every keyboard input (which may include credit card details, passwords or other sensitive information)
— Felix Krause (@KrauseFx) August 18, 2022
TikTok also has code to observe all taps, like clicking on any buttons or links. pic.twitter.com/Dcv0N4ccKD
場合によってはユーザーのクレジットカード情報やパスワードなども、TikTokに監視されている可能性があります。
TikTokはこの指摘に対して「不正確であり、誤解を招く」と主張。TikTokは、このコードを通じてキーストロークやキー入力を収集しておらず、デバッグやトラブルシューティング、パフォーマンス監視のためにのみ使用していると主張しています。
The report's conclusions about TikTok are incorrect and misleading. Contrary to its claims, we do not collect keystroke or text inputs through this code, which is solely used for debugging, troubleshooting and performance monitoring. https://t.co/eUl9hikO3h
— TikTokComms (@TikTokComms) August 19, 2022
TikTokの主張どおり、キー入力を収集していないとしても、キー入力をサブスクライブできることは事実。Felix Krause氏の調査でも、TikTokがデータを収集したり、どこかのサーバーに送信したりすることは明らかになっていませんし、このログがユーザーIDと紐付けられているかも不明です。
またFelix Krause氏は、Instagramアプリにも同じようなJavaScriptが使用されていると指摘。ユーザー自身で防ぐには、アプリ内ブラウザを利用しないか、Safariに変更できる場合は変更するなどが挙げられます。
TikTokを巡るさまざまな問題
TikTokは中国のByteDanceが運営していますが、中国当局からの関与が行われていないか、コンテンツモデレーションやアルゴリズムの調査をOracleが開始したと報じられています。
また今年6月に米BuzzFeed Newsが報じられていた件や、TikTokがAppleとGoogleのプライバシー保護を回避してユーザーの機密データにアクセスできるとする研究などが報じられたことを受け、米連邦通信委員会(FCC)のコミッショナー・Brendan Carr氏が、TikTokをアプリストアから削除するよう、AppleとGoogleに要請。
一部の中国拠点の従業員は、TikTokの米ユーザーのデータにアクセスできることも判明しています。
